L'IA conforme à la Loi 25 pour les PME du Québec
L'intelligence artificielle fait gagner un temps fou. Mais au Québec, elle vient avec une question que peu de propriétaires de PME se posent : où vont vos données ?
Depuis la Loi 25, chaque entreprise est responsable des renseignements personnels qu'elle manipule — ceux de ses clients, de ses employés, de ses fournisseurs. Et la plupart des outils IA grand public envoient ces données sur des serveurs situés aux États-Unis. C'est exactement là que le risque commence.
Obrio existe pour régler ça : une IA conforme à la Loi 25, avec vos données hébergées au Canada et un humain qui approuve chaque action. Vous profitez de l'IA, sans exposer votre entreprise.
Conçu pour respecter la Loi 25
Vos données restent au Canada, et un humain approuve chaque action avant tout envoi. Vous profitez de l'IA sans exposer votre entreprise.
Pourquoi l'IA hébergée aux États-Unis (ChatGPT & co) vous expose
Prenons un exemple concret. Un employé copie votre liste de clients dans ChatGPT pour rédiger ses courriels plus vite. Rien de malveillant — il veut juste avancer. Sauf que cette liste contient des noms, des adresses, des numéros de téléphone : des renseignements personnels.
La plupart des outils IA grand public — ChatGPT et les autres — hébergent leurs données sur des serveurs situés aux États-Unis. Dès que votre employé colle cette liste, l'information quitte le Québec.
C'est précisément ce que la Loi 25 encadre. Son article 17 prévoit qu'avant de transférer des renseignements personnels à l'extérieur du Québec, une entreprise doit d'abord évaluer si l'information y bénéficiera d'une protection équivalente à celle exigée ici. Autrement dit : vous ne pouvez pas simplement envoyer les données de vos clients n'importe où, sans vérification.
Ce n'est pas une question de mauvaise foi. C'est une question de savoir où vont vos données — et, la plupart du temps, personne dans la PME ne le sait.
Ce que la Loi 25 exige quand votre PME utilise l'IA
La Loi 25 ne prononce pas le mot « intelligence artificielle ». Mais ses règles s'appliquent dès qu'un outil — IA ou non — touche à des renseignements personnels. Pour une PME, ça se résume à quelques principes simples :
- Vous êtes responsable. Les données de vos clients et de vos employés restent votre responsabilité, même quand c'est un logiciel ou une IA qui les traite.
- Vous devez savoir où elles vont. On ne protège pas ce qu'on ne suit pas. Chaque outil qui touche à des données personnelles devrait être connu et encadré.
- Un transfert hors Québec demande une évaluation. C'est le cœur de l'article 17 : avant que l'information sorte de la province, il faut s'assurer qu'elle restera bien protégée.
- La transparence compte. Vos clients ont le droit de savoir comment leurs renseignements sont utilisés.
Rien de tout ça n'interdit l'IA. La Loi 25 ne vous empêche pas d'utiliser l'IA au travail, légalement, au Québec — elle vous demande de le faire de façon encadrée. C'est une nuance capitale : le problème n'est pas l'IA, c'est l'IA non maîtrisée. (Pour approfondir le cadre, voyez notre guide Loi 25 et intelligence artificielle pour les PME.)
Le « shadow AI » : vos employés utilisent peut-être déjà l'IA en douce
Voici le vrai angle mort. Pendant que la direction se demande « est-ce qu'on devrait adopter l'IA ? », les employés, eux, l'utilisent déjà. On appelle ça le shadow AI : le recours à des outils d'IA en douce, sans encadrement de l'entreprise.
Un adjoint qui résume ses courriels dans un outil gratuit. Un vendeur qui fait rédiger ses soumissions par une IA publique. Une commis qui traduit une lettre destinée à un client. Chaque fois, des renseignements personnels peuvent sortir de votre PME sans que vous le sachiez.
Le shadow AI dans les PME n'est pas un problème de discipline — c'est un problème de vide. Quand l'entreprise n'offre pas d'outil IA sûr, les employés en trouvent un eux-mêmes. Et ils choisissent le plus connu, presque toujours hébergé aux États-Unis.
La bonne réponse n'est pas d'interdire l'IA : ça ne fait que pousser l'usage encore plus dans l'ombre. C'est d'offrir une option officielle, sûre et conforme — pour que l'IA utile se fasse au grand jour, sous votre contrôle.
Comment Obrio rend l'IA conforme (vos données au Canada)
C'est là qu'Obrio change la donne. Nos agents IA sont conçus pour respecter la Loi 25, à partir d'un principe simple : vos données restent au Canada.
Concrètement, les renseignements traités par nos agents sont hébergés sur une infrastructure canadienne — des serveurs situés au pays. L'hébergement des données IA au Canada n'est pas un détail technique : c'est ce qui répond directement à la préoccupation de l'article 17. Les données de vos clients ne partent pas aux États-Unis par défaut.
Nous n'utilisons pas non plus vos données pour entraîner des modèles publics. Ce qui entre chez Obrio sert à faire votre travail, point. Par exemple, l'agent de facturation se connecte à vos outils comme QuickBooks sans double saisie et sans exposer vos livres à un service étranger.
Est-ce que ça vous rend « 100 % conforme » du jour au lendemain ? Non — la conformité dépend aussi de vos propres pratiques, et personne d'honnête ne vous promettra une garantie absolue. Mais en gardant vos données au pays et en encadrant chaque usage, Obrio réduit concrètement le risque au lieu de l'ignorer. C'est la différence entre une IA choisie et une IA subie.
Le gate humain : l'agent prépare, vous approuvez
Héberger les données au Canada règle la moitié du problème. L'autre moitié, c'est le contrôle.
Les agents d'Obrio ne partent jamais seuls. Chaque agent prépare le travail — une relance de paiement, une soumission, un horaire, un courriel — puis s'arrête et attend votre feu vert. Rien d'important ne sort sans qu'un humain l'ait approuvé. C'est ce qu'on appelle le contrôle humain, ou « gate humain » : l'agent prépare, vous approuvez.
Ce fonctionnement, réglé par défaut sur « toujours demander », change tout côté conformité. Une personne responsable voit ce que l'agent propose avant que ça atteigne un client. Les erreurs sont attrapées avant, pas après. Et vous gardez une trace claire de qui a approuvé quoi.
C'est aussi ce qui distingue Obrio d'une IA « autonome » qui agirait dans votre dos. Ici, l'IA fait le gros du travail ; le jugement final reste humain. C'est plus rassurant pour vous — et plus solide devant la Loi 25.
Amendes et enjeux (jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial)
Pourquoi s'en préoccuper maintenant ? Parce que la Loi 25 a des dents.
Les sanctions prévues peuvent atteindre 10 millions de dollars ou 2 % de votre chiffre d'affaires mondial — le plus élevé des deux montants. Pour une PME, même une fraction de ce chiffre serait dévastatrice.
Et le sujet est sorti de l'ombre. Au printemps 2026, des médias québécois grand public — dont La Presse — ont rappelé que le recours à l'IA au travail pouvait, dans bien des cas, poser problème sur le plan de la vie privée. Vos clients lisent ces articles. La question « où vont mes données ? » n'est plus réservée aux juristes.
Au-delà de l'amende, il y a la confiance. Un client qui apprend que ses renseignements se sont promenés sur des serveurs étrangers ne revient pas toujours. La conformité, ce n'est pas seulement éviter une pénalité — c'est protéger votre réputation.
Ceci n'est pas un avis juridique : pour évaluer votre situation précise, parlez-en à votre conseiller. Mais une chose est claire : encadrer votre usage de l'IA coûte bien moins cher que de l'ignorer.
Loi 25 et intelligence artificielle
La Loi 25 interdit-elle d'utiliser l'IA dans mon entreprise ?
ChatGPT est-il conforme à la Loi 25 ?
Où sont hébergées les données avec Obrio ?
Qu'est-ce que le « shadow AI » et pourquoi ça me concerne ?
Obrio garantit-il ma conformité à la Loi 25 ?
Combien peut coûter une infraction à la Loi 25 ?
Prêt à utiliser l'IA sans exposer votre entreprise ?
Obrio déploie et opère vos agents IA — conçus pour respecter la Loi 25, avec vos données au Canada et votre approbation à chaque étape. On regarde ensemble par quelle tâche commencer.